誤用與異常融合入侵檢測技術(shù)研究.pdf

1、隨著Internet的不斷發(fā)展，網(wǎng)絡(luò)安全問題也日益突出。IPv6作為Internet協(xié)議的下一版本，具有地址空間大，更強的移動性和安全性等特點，將最終取代IPv4協(xié)議。但是，IPv6并不能完全解決網(wǎng)絡(luò)安全問題。入侵檢測系統(tǒng)作為一種有效的網(wǎng)絡(luò)安全工具，依然能夠在IPv6環(huán)境下發(fā)揮極其重要的作用，因此對于IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究具有重要的意義。誤用檢測和異常檢測是主要的兩種入侵檢測技術(shù)，各有其優(yōu)缺點。誤用檢測對已知攻擊有較好的檢測率，

2、但需要隨時更新特征庫，且不能發(fā)現(xiàn)未知攻擊；異常檢測能發(fā)現(xiàn)未知攻擊，但誤報率和漏報率較高，難以投入實際的應(yīng)用。為解決以上問題，本文進(jìn)行了如下研究：
　　 在研究誤用檢測技術(shù)的基礎(chǔ)上，對基于特征的Snort系統(tǒng)進(jìn)行了分析，并在此基礎(chǔ)上，實現(xiàn)了Snort向IPv6網(wǎng)絡(luò)環(huán)境的移植，包括IPv6協(xié)議的解析、IPv6分片重組、IPv6相關(guān)規(guī)則的編寫和IPsec的處理等相關(guān)技術(shù)，使得該系統(tǒng)能同時工作在IPv4和IPv6網(wǎng)絡(luò)中。
　　

3、在研究了異常檢測技術(shù)的基礎(chǔ)上，實現(xiàn)了基于馬爾可夫鏈的異常檢測算法，給出了利用馬爾可夫鏈對幾種常見協(xié)議類型的建模結(jié)果，包括TCP協(xié)議的FTP協(xié)議模型、HTTP協(xié)議模型、TELNET協(xié)議模型和TCP協(xié)議總體模型，UDP協(xié)議的DNS協(xié)議模型。
　　 在以上工作的基礎(chǔ)上，設(shè)計和實現(xiàn)了一種誤用檢測和異常檢測相結(jié)合的入侵檢測系統(tǒng)。給出了系統(tǒng)的總體設(shè)計方案和模塊設(shè)計：包括捕包模塊、協(xié)議解析模塊、預(yù)處理模塊、異常檢測模塊、規(guī)則匹配模塊和響應(yīng)模塊